Security Lab

Раскрытие данных в WebCalendar

Дата публикации:06.06.2006
Всего просмотров:1201
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: WebCalendar 1.x
Уязвимые версии: WebCalendar 1.0.3, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности и получить доступ к важным данным на системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "includedir" в функции "fopen()". Удаленный пользователь может подключить произвольный файл свойств с внешнего Web сайта. Дальнейшая эксплуатация уязвимости может позволить злоумышленнику просмотреть произвольные файлы на системе. Для удачной эксплуатации требуется, чтобы опция "register_globals" была включена.

URL производителя: www.k5n.us/webcalendar.php

Решение: Установите последнюю версию с сайта производителя.